Настройка Microsoft Defender для конечной точки в политиках macOS в Jamf Pro

  • Статья

Область применения:

На этой странице вы узнаете, как настроить политики macOS в Jamf Pro.

Вам потребуется выполнить следующие действия.

  1. Получение пакета подключения Microsoft Defender для конечной точки
  2. Создание профиля конфигурации в Jamf Pro с помощью пакета подключения
  3. Настройка параметров Microsoft Defender для конечной точки
  4. Настройка параметров уведомлений Microsoft Defender для конечной точки
  5. Настройка автоматического обновления (Майкрософт)
  6. Предоставление полного доступа к диску Microsoft Defender для конечной точки
  7. Утверждение системных расширений для Microsoft Defender для конечной точки
  8. Настройка расширения сети
  9. Настройка фоновых служб
  10. Предоставление разрешений Bluetooth
  11. Планирование проверок с помощью Microsoft Defender для конечной точки в macOS
  12. Развертывание Microsoft Defender для конечной точки в macOS

Шаг 1. Получение пакета подключения Microsoft Defender для конечной точки

  1. В Microsoft Defender XDR перейдите в раздел Подключение конечных >> точек параметров.

  2. Выберите macOS в качестве операционной системы и мобильные Управление устройствами / Microsoft Intune в качестве метода развертывания.

    Страница

  3. Выберите Скачать пакет подключения (WindowsDefenderATPOnboardingPackage.zip).

  4. Извлеките .WindowsDefenderATPOnboardingPackage.zip

  5. Скопируйте файл в предпочитаемое расположение. Например, C:\Users\JaneDoe_or_JohnDoe.contoso\Downloads\WindowsDefenderATPOnboardingPackage_macOS_MDM_contoso\jamf\WindowsDefenderATPOnboarding.plist.

Шаг 2. Создание профиля конфигурации в Jamf Pro с помощью пакета подключения

  1. Найдите файл WindowsDefenderATPOnboarding.plist из предыдущего раздела.

    Файл подключения Защитник Windows ATP.

  2. Войдите в Jamf Pro, перейдитевраздел Профили конфигурации компьютеров> и выберите Создать.

    Страница, на которой создается новая панель мониторинга Jamf Pro.

  3. Введите следующие сведения на вкладке Общие :

    • Имя: подключение MDE для macOS
    • Описание: подключение MDE EDR для macOS
    • Категории: None (нет)
    • Метод распространения: автоматическая установка
    • Уровень: Уровень компьютера

  4. Перейдите на страницу Приложения & пользовательские параметры и выберите Отправить>добавить.

    Приложение конфигурации и пользовательские параметры.

  5. Выберите Отправить файл (PLIST-файл), а затем в поле Домен предпочтения введите : com.microsoft.wdav.atp.

    Файл отправки plist jamfpro.

    Файл списка свойств файла отправки.

  6. Нажмите кнопку Открыть и выберите файл подключения.

    Файл подключения.

  7. Выберите Добавить.

    Файл plist для отправки.

  8. Перейдите на вкладку Область .

    Вкладка Область.

  9. Выберите целевые компьютеры.

    Целевые компьютеры.

    Целевые объекты.

  10. Выберите Сохранить.

    Развертывание целевых компьютеров.

    Выбор целевых компьютеров.

  11. Нажмите кнопку Готово.

    Компьютеры целевой группы.

    Список профилей конфигурации.

Шаг 3. Настройка параметров Microsoft Defender для конечной точки

Вы можете использовать графический интерфейс JAMF Pro для изменения отдельных параметров конфигурации Microsoft Defender для конечной точки или использовать устаревший метод, создав Plist конфигурации в текстовом редакторе и передав его в JAMF Pro.

Обратите внимание, что в качестве предпочтительного домена необходимо использовать точныйcom.microsoft.wdav, Microsoft Defender для конечной точки использует только это имя и com.microsoft.wdav.ext для загрузки управляемых параметров.

(Версия com.microsoft.wdav.ext может использоваться в редких случаях, когда вы предпочитаете использовать метод графического пользовательского интерфейса, но также необходимо настроить параметр, который еще не был добавлен в схему.)

Метод графического пользовательского интерфейса

  1. Скачайте schema.json файл из репозитория GitHub Defender и сохраните его в локальном файле:

    curl -o ~/Documents/schema.json https://raw.githubusercontent.com/microsoft/mdatp-xplat/master/macos/schema/schema.json

  2. Создайте профиль конфигурации в разделе Компьютеры —> Профили конфигурации, введите следующие сведения на вкладке Общие :

    Новый профиль.

    • Имя: параметры конфигурации MDATP MDAV
    • Описание:<blank>
    • Категория: Нет (по умолчанию)
    • Уровень: уровень компьютера (по умолчанию)
    • Метод распространения: автоматическая установка (по умолчанию)

  3. Прокрутите вниз до вкладки Application & Пользовательские параметры , выберите Внешние приложения, щелкните Добавить и используйте настраиваемую схему в качестве источника, чтобы использовать для домена предпочтения.

    Добавление пользовательской схемы.

  4. Введите com.microsoft.wdav в качестве предпочтительного домена, выберите Добавить схему и отправьте файл schema.json, скачанный на шаге 1. Нажмите кнопку Сохранить.

    Передача схемы.

  5. Ниже приведены все поддерживаемые параметры конфигурации Microsoft Defender для конечной точки в разделе Свойства предпочтительного домена. Щелкните Добавить или удалить свойства , чтобы выбрать параметры, которыми вы хотите управлять, и нажмите кнопку ОК , чтобы сохранить изменения. (Параметры, которые не выбраны, не будут включены в управляемую конфигурацию. Пользователь сможет настроить эти параметры на своих компьютерах.)

    Выбранные управляемые параметры.

  6. Измените значения параметров на нужные значения. Щелкните Дополнительные сведения, чтобы получить документацию по определенному параметру. (Вы можете щелкнуть предварительный просмотр Plist , чтобы проверить, как будет выглядеть plist конфигурации. Щелкните Редактор форм , чтобы вернуться в визуальный редактор.)

    Страница, на которой изменяются значения параметров.

  7. Перейдите на вкладку Область .

    Профиль конфигурации область.

  8. Выберите Группа компьютеров Contoso.

  9. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Страница, на которой можно добавить параметры конфигурации.

    Страница, на которой можно сохранить параметры конфигурации.

  10. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Страница, на которой выполняется заполнение параметров конфигурации.

Microsoft Defender для конечной точки со временем добавляет новые параметры. Эти новые параметры будут добавлены в схему, а новая версия будет опубликована на сайте GitHub. Все, что вам нужно сделать для обновления, — скачать обновленную схему, изменить существующий профиль конфигурации и изменить схему на вкладке Application & Custom Settings (Пользовательские параметры приложения ).

Устаревший метод

  1. Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:

    • enableRealTimeProtection
    • passiveMode

    Примечание.

    Не включено по умолчанию. Если вы планируете запустить стороннюю av для macOS, задайте для него значение true.

    • Исключения
    • excludedPath
    • excludedFileExtension
    • excludedFileName
    • exclusionsMergePolicy
    • allowedThreats

    Примечание.

    EICAR находится на примере, если вы проходите проверку концепции, удалите его, особенно если вы тестируете EICAR.

    • disallowedThreatActions
    • potentially_unwanted_application
    • archive_bomb
    • cloudService
    • automaticSampleSubmission
    • tags
    • hideStatusMenuIcon

    Дополнительные сведения см. в разделе Список свойств для полного профиля конфигурации JAMF.

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
    <key>antivirusEngine</key>
    <dict>
        <key>enableRealTimeProtection</key>
        <true/>
        <key>passiveMode</key>
        <false/>
        <key>exclusions</key>
        <array>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <false/>
                <key>path</key>
                <string>/var/log/system.log</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedPath</string>
                <key>isDirectory</key>
                <true/>
                <key>path</key>
                <string>/home</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileExtension</string>
                <key>extension</key>
                <string>pdf</string>
            </dict>
            <dict>
                <key>$type</key>
                <string>excludedFileName</string>
                <key>name</key>
                <string>cat</string>
            </dict>
        </array>
        <key>exclusionsMergePolicy</key>
        <string>merge</string>
        <key>allowedThreats</key>
        <array>
            <string>EICAR-Test-File (not a virus)</string>
        </array>
        <key>disallowedThreatActions</key>
        <array>
            <string>allow</string>
            <string>restore</string>
        </array>
        <key>threatTypeSettings</key>
        <array>
            <dict>
                <key>key</key>
                <string>potentially_unwanted_application</string>
                <key>value</key>
                <string>block</string>
            </dict>
            <dict>
                <key>key</key>
                <string>archive_bomb</string>
                <key>value</key>
                <string>audit</string>
            </dict>
        </array>
        <key>threatTypeSettingsMergePolicy</key>
        <string>merge</string>
    </dict>
    <key>cloudService</key>
    <dict>
        <key>enabled</key>
        <true/>
        <key>diagnosticLevel</key>
        <string>optional</string>
        <key>automaticSampleSubmission</key>
        <true/>
    </dict>
    <key>edr</key>
    <dict>
        <key>tags</key>
        <array>
            <dict>
                <key>key</key>
                <string>GROUP</string>
                <key>value</key>
                <string>ExampleTag</string>
            </dict>
        </array>
    </dict>
    <key>userInterface</key>
    <dict>
        <key>hideStatusMenuIcon</key>
        <false/>
    </dict>
</dict>
</plist>

  2. Сохраните файл как MDATP_MDAV_configuration_settings.plist.

  3. На панели мониторинга Jamf Pro откройте компьютеры и их профили конфигурации. Щелкните Создать и перейдите на вкладку Общие .

    Страница с новым профилем.

  4. Введите следующие сведения на вкладке Общие :

    • Имя: параметры конфигурации MDATP MDAV
    • Описание:<blank>
    • Категория: Нет (по умолчанию)
    • Метод распространения: автоматическая установка (по умолчанию)
    • Уровень: уровень компьютера (по умолчанию)

  5. В разделе Application & Custom Settings (Пользовательские параметры приложения) выберите Настроить.

    Параметры конфигурации MDATP MDAV.

    Приложение и пользовательские параметры.

  6. Выберите Отправить файл (PLIST-файл).

    Файл plist параметров конфигурации.

  7. В разделе Параметры Домен введите com.microsoft.wdav, а затем выберите Отправить PLIST-файл.

    Домен настроек параметров конфигурации.

  8. Выберите Выбрать файл.

    Запрос на выбор Plist-файла.

  9. Выберите MDATP_MDAV_configuration_settings.plist и нажмите кнопку Открыть.

    Параметры конфигурации mdatpmdav.

  10. Выберите Добавить.

    Отправка параметра конфигурации.

    Запрос на отправку образа, связанного с параметрами конфигурации.

    Примечание.

    Если вы отправите файл Intune, вы получите следующую ошибку:

    Запрос на отправку файла intune, связанного с параметрами конфигурации.

  11. Выберите Сохранить.

    Параметр для сохранения образа, связанного с параметрами конфигурации.

  12. Файл будет отправлен.

    Отправленный файл, связанный с параметрами конфигурации.

    Страница параметров конфигурации.

  13. Перейдите на вкладку Область .

    Область для параметров конфигурации.

  14. Выберите Группа компьютеров Contoso.

  15. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Параметры конфигурации addsav.

    Уведомление о параметрах конфигурации.

  16. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Изображение профиля конфигурации параметров конфигурации.Параметры профиля конфигурации.

Шаг 4. Настройка параметров уведомлений

Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.

  1. На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.

  2. Нажмите кнопку Создать и введите следующие сведения на вкладке Общие для параметра Параметры:

    • Имя: параметры уведомлений MDATP MDAV
    • Описание: macOS 11 (Big Sur) или более поздней версии
    • Категория: Нет (по умолчанию)
    • Метод распространения: автоматическая установка (по умолчанию)
    • Уровень: уровень компьютера (по умолчанию)

    Страница нового профиля конфигурации macOS.

    • Вкладка Уведомления, нажмите кнопку Добавить и введите следующие значения:

      • Идентификатор пакета: com.microsoft.wdav.tray
      • Критические оповещения: щелкните Отключить
      • Уведомления: нажмите кнопку Включить.
      • Тип оповещения баннера: выберите Включить и Временное(по умолчанию)
      • Уведомления на экране блокировки: нажмите кнопку Скрыть
      • Уведомления в центре уведомлений: нажмите кнопку Показать
      • Значок приложения эмблемы: нажмите кнопку Показать

      Область уведомлений mdatpmdav для параметров конфигурации.

    • Вкладка Уведомления, нажмите кнопку Добавить еще раз, прокрутите вниз до пункта Новые параметры уведомлений.

      • Идентификатор пакета: com.microsoft.autoupdate.fba
      • Настройте для остальных параметров те же значения, что и выше.

      Параметры конфигурации mdatpmdav notifications mau.

      Обратите внимание, что теперь у вас есть две таблицы с конфигурациями уведомлений: одна для идентификатора пакета: com.microsoft.wdav.tray, а другая — для идентификатора пакета: com.microsoft.autoupdate.fba. Хотя вы можете настроить параметры оповещений в соответствии с вашими требованиями, идентификаторы пакетов должны быть точно таким же, как описано выше, а параметр Включить должен быть включен для уведомлений.

  3. Перейдите на вкладку Область , а затем нажмите кнопку Добавить.

    Страница, на которой можно добавить значения для параметров конфигурации.

  4. Выберите Группа компьютеров Contoso.

  5. Нажмите кнопку Добавить, а затем нажмите кнопку Сохранить.

    Страница, на которой можно сохранить значения для группы компьютеров contoso параметров конфигурации.

    Страница, на которую отображается уведомление о завершении параметров конфигурации.

  6. Нажмите кнопку Готово. Вы увидите новый профиль конфигурации.

    Завершенные параметры конфигурации.

Шаг 5. Настройка автоматического обновления Майкрософт (MAU)

  1. Используйте следующие параметры конфигурации Microsoft Defender для конечной точки:

    <?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE plist PUBLIC "-//Apple//DTD PLIST 1.0//EN" "http://www.apple.com/DTDs/PropertyList-1.0.dtd">
<plist version="1.0">
<dict>
<key>ChannelName</key>
<string>Current</string>
<key>HowToCheck</key>
<string>AutomaticDownload</string>
<key>EnableCheckForUpdatesButton</key>
<true/>
<key>DisableInsiderCheckbox</key>
<false/>
<key>SendAllTelemetryEnabled</key>
<true/>
</dict>
</plist>

  2. Сохраните его как MDATP_MDAV_MAU_settings.plist.

  3. На панели мониторинга Jamf Pro выберите Общие.

    Параметры конфигурации.

  4. Введите следующие сведения на вкладке Общие :

    • Имя: параметры MDATP MDAV MAU
    • Описание: Параметры автоматического обновления (Майкрософт) для MDATP для macOS
    • Категория: Нет (по умолчанию)
    • Метод распространения: установка автоматически (по умолчанию)
    • Уровень: уровень компьютера (по умолчанию)

  5. В разделе Application & Custom Settings (Пользовательские параметры приложения ) выберите Настроить.

    Приложение параметров конфигурации и пользовательские параметры.

  6. Выберите Отправить файл (PLIST-файл).

  7. В поле Привилегированный домен введите: com.microsoft.autoupdate2, а затем выберите Отправить PLIST-файл.

    Домен предпочтения параметра конфигурации.

  8. Выберите Выбрать файл.

    Запрос на выбор файла относительно параметра конфигурации.

  9. Выберите MDATP_MDAV_MAU_settings.plist.

    Параметры mdatpmdavmau.

  10. Выберите Добавить. Отправка файла в отношении параметра конфигурации.

    Страница с параметром отправки для файла с параметром конфигурации.

  11. Выберите Сохранить.

    Страница с параметром сохранения для файла с параметром конфигурации.

  12. Перейдите на вкладку Область .

    Вкладка Область для параметров конфигурации.

  13. Нажмите Добавить.

    Параметр для добавления целевых объектов развертывания.

    Страница, на которой добавляются дополнительные значения в параметры конфигурации.

    Страница, на которой можно добавить дополнительные значения в параметры конфигурации.

  14. Нажмите кнопку Готово.

    Уведомление о завершении, касающееся параметров конфигурации.

Шаг 6. Предоставление полного доступа к диску Microsoft Defender для конечной точки

  1. На панели мониторинга Jamf Pro выберите Профили конфигурации.

    Профиль, для которого необходимо настроить параметры.

  2. Выберите + Создать.

  3. Введите следующие сведения на вкладке Общие :

    • Имя: MDATP MDAV — предоставление полного доступа к EDR и AV
    • Описание. В macOS 11 (Big Sur) или более поздней версии новый элемент управления политикой параметров конфиденциальности
    • Категории: None (нет)
    • Метод распространения: автоматическая установка
    • Уровень: уровень компьютера

    Общий параметр конфигурации.

  4. В разделе Настройка управления политикой параметров конфиденциальности выберите Настроить.

    Элемент управления политикой конфиденциальности конфигурации.

  5. В разделе Управление политикой параметров конфиденциальности введите следующие сведения:

    • Идентификатор: com.microsoft.wdav
    • Тип идентификатора: идентификатор пакета
    • Требование к коду: identifier "com.microsoft.wdav" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

    Сведения о политике настройки конфиденциальности параметра конфигурации.

  6. Выберите + Добавить.

    Параметр конфигурации добавляет параметр

    • В разделе Приложение или служба: задайте значение SystemPolicyAllFiles.

    • В разделе "access": задайте значение Разрешить.

  7. Выберите Сохранить (не тот, который находится в правом нижнем углу).

    Операция сохранения для параметра конфигурации.

  8. + Щелкните значок рядом с элементом Доступ к приложениям, чтобы добавить новую запись.

    Операция сохранения, связанная с параметром конфигурации.

  9. Введите следующие сведения:

    • Идентификатор: com.microsoft.wdav.epsext
    • Тип идентификатора: идентификатор пакета
    • Требование к коду: identifier "com.microsoft.wdav.epsext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9

  10. Выберите + Добавить.

    Запись параметра конфигурации tcc epsext.

    • В разделе Приложение или служба: задайте значение SystemPolicyAllFiles.

    • В разделе "access": задайте значение Разрешить.

  11. Выберите Сохранить (не тот, который находится в правом нижнем углу).

    Другой экземпляр параметра конфигурации tcc epsext.

  12. Перейдите на вкладку Область .

    Страница с область для параметра конфигурации.

  13. Выберите + Добавить.

    Страница с параметром конфигурации.

  14. Выберите Группы компьютеров> в разделе Имя> группы выберите Contoso MachineGroup.

    Параметр конфигурации группы компьютеров contoso.

  15. Нажмите Добавить.

  16. Выберите Сохранить.

  17. Нажмите кнопку Готово.

    Параметр конфигурации contoso machine-group.

    Иллюстрация параметра конфигурации.

Кроме того, можно скачать fulldisk.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Примечание.

Полный доступ к диску, предоставленный через профиль конфигурации Apple MDM, не отражается в разделе Параметры системы => Конфиденциальность & Безопасность => Полный доступ к диску.

Шаг 7. Утверждение расширений системы для Microsoft Defender для конечной точки

  1. В разделе Профили конфигурации выберите + Создать.

    Описание автоматически созданного сообщения в социальных сетях.

  2. Введите следующие сведения на вкладке Общие :

    • Имя: расширения системы MDATP MDAV
    • Описание: расширения системы MDATP
    • Категории: None (нет)
    • Метод распространения: автоматическая установка
    • Уровень: Уровень компьютера

    Параметры конфигурации sysext новый профиль.

  3. В разделе Расширения системы выберите Настроить.

    Область с параметром Настроить для системных расширений.

  4. В поле Системные расширения введите следующие сведения:

    • Отображаемое имя: системные расширения Корпорации Майкрософт
    • Типы расширений системы: разрешенные расширения системы
    • Идентификатор команды: UBF8T346G9
    • Разрешенные системные расширения:
      • com.microsoft.wdav.epsext
      • com.microsoft.wdav.netext

    Область системных расширений MDATP MDAV.

  5. Перейдите на вкладку Область .

    Область выбора целевых компьютеров.

  6. Выберите + Добавить.

  7. Выберите Группы компьютеров> в разделе Имя> группы выберите Группа компьютеров Contoso.

  8. Выберите + Добавить.

    Панель Новый профиль конфигурации macOS.

  9. Выберите Сохранить.

    Отображение параметров, касающихся системных расширений MDATP MDAV.

  10. Нажмите кнопку Готово.

    Параметры конфигурации sysext — окончательные.

Шаг 8. Настройка расширения сети

В рамках возможностей обнаружения и реагирования на конечные точки Microsoft Defender для конечной точки в macOS проверяет трафик сокетов и передает эти сведения на портал Microsoft Defender. Следующая политика позволяет сетевому расширению выполнять эту функцию.

Эти действия применимы в macOS 11 (Big Sur) или более поздней версии.

  1. На панели мониторинга Jamf Pro выберите Компьютеры, а затем — Профили конфигурации.

  2. Нажмите кнопку Создать и введите следующие сведения в поле Параметры:

    • Вкладка "Общие":

      • Имя: расширение сети Microsoft Defender
      • Описание: macOS 11 (Big Sur) или более поздней версии
      • Категория: Нет (по умолчанию)
      • Метод распространения: автоматическая установка (по умолчанию)
      • Уровень: уровень компьютера (по умолчанию)

    • Фильтр содержимого вкладки:

      • Имя фильтра: фильтр содержимого Microsoft Defender
      • Идентификатор: com.microsoft.wdav
      • Оставьте пустым адрес службы, организацию, имя пользователя, пароль, сертификат (включитьне выбрано)
      • Порядок фильтрации: Инспектор
      • Фильтр сокетов: com.microsoft.wdav.netext
      • Указанное требование фильтра сокетов: identifier "com.microsoft.wdav.netext" and anchor apple generic and certificate 1[field.1.2.840.113635.100.6.2.6] /* exists */ and certificate leaf[field.1.2.840.113635.100.6.1.13] /* exists */ and certificate leaf[subject.OU] = UBF8T346G9
      • Оставьте поля фильтра сети пустыми (включитьне выбрано)

      Обратите внимание, что идентификатор, фильтр сокетов и назначенный фильтр сокетов точные значения, как указано выше.

      Параметр конфигурации mdatpmdav.

  3. Перейдите на вкладку Область .

    Вкладка

  4. Выберите + Добавить.

  5. Выберите Группы компьютеров> в разделе Имя> группы выберите Группа компьютеров Contoso.

  6. Выберите + Добавить.

    Параметры конфигурации adim.

  7. Выберите Сохранить.

    Область

  8. Нажмите кнопку Готово.

    Параметры конфигурации нетекст — окончательный.

Кроме того, можно скачать netfilter.mobileconfig и отправить его в профили конфигурации JAMF, как описано в статье Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Шаг 9. Настройка фоновых служб

Предостережение

MacOS 13 (Ventura) содержит новые улучшения конфиденциальности. Начиная с этой версии приложения по умолчанию не могут выполняться в фоновом режиме без явного согласия. Microsoft Defender для конечной точки должна выполняться управляющая программа в фоновом режиме.

Этот профиль конфигурации предоставляет разрешения фоновой службы для Microsoft Defender для конечной точки. Если вы ранее настроили Microsoft Defender для конечной точки через JAMF, рекомендуется обновить развертывание с помощью этого профиля конфигурации.

Скачайте background_services.mobileconfig из репозитория GitHub.

Отправьте скачанный mobileconfig в профили конфигурации JAMF, как описано в разделе Развертывание пользовательских профилей конфигурации с помощью Jamf Pro|Способ 2. Отправка профиля конфигурации в Jamf Pro.

Шаг 10. Предоставление разрешений Bluetooth

Предостережение

macOS 14 (Sonoma) содержит новые улучшения конфиденциальности. Начиная с этой версии, по умолчанию приложения не могут получить доступ к Bluetooth без явного согласия. Microsoft Defender для конечной точки использует его при настройке политик Bluetooth для управления устройствами.

Скачайте bluetooth.mobileconfig из репозитория GitHub.

Предупреждение

Текущая версия JAMF Pro пока не поддерживает такого рода полезные данные. Если отправить эту mobileconfig как есть, JAMF Pro удалит неподдерживаемые полезные данные и не будет применяться к клиентским компьютерам. Сначала нужно подписать скачанный mobileconfig, после чего JAMF Pro будет считать его "запечатанным" и не будет несанкционированным. См. инструкции ниже.

  • В цепочке ключей должен быть установлен по крайней мере один сертификат подписи, даже самозаверяющий сертификат будет работать. Вы можете проверить, что у вас есть с помощью:
> /usr/bin/security find-identity -p codesigning -v

  1) 70E46A47F552EA8D58521DAC1E7F5144BA3012BC "DevCert"
  2) 67FC43F3FAB77662BB7688C114585BAA37CA8175 "Mac Developer: John Doe (1234XX234)"
  3) E142DFD879E5EB60FA249FB5B24CEAE3B370394A "Apple Development: Jane Doe 7XX7778888)"
  4) 21DE31645BBF1D9F5C46E82E87A6968111E41C75 "Apple Development: me@example.com (8745XX123)"
     4 valid identities found
  • Выберите любой из них и укажите текст в кавычках в качестве параметра -N:
/usr/bin/security cms -S -N "DevCert" -i bluetooth.mobileconfig -o bluetooth-signed.mobileconfig

Примечание.

Bluetooth, предоставленный через профиль конфигурации Apple MDM, не отображается в разделе Параметры системы => Конфиденциальность & Безопасность => Bluetooth.

Шаг 11. Планирование проверок с помощью Microsoft Defender для конечной точки в macOS

Следуйте инструкциям в статье Планирование проверок с помощью Microsoft Defender для конечной точки в macOS.

Шаг 12. Развертывание Microsoft Defender для конечной точки в macOS

Примечание.

Ниже приведены примеры имени .pkg файла и значений отображаемого имени . В этих примерах представляет дату создания 200329 пакета и политики (в yymmdd формате), а v100.86.92 также версию развертываемого приложения Microsoft Defender. Эти значения должны быть обновлены в соответствии с соглашением об именовании, используемым в среде для пакетов и политик.

  1. Перейдите к месту, где вы сохранили wdav.pkg.

    Пакет wdav проводника.

  2. Переименуйте его в wdav_MDM_Contoso_200329.pkg.

    Пакет wdavmdm проводника1.

  3. Откройте панель мониторинга Jamf Pro.

    Параметры конфигурации для jamfpro.

  4. Выберите компьютер и щелкните значок шестеренки вверху, а затем выберите Управление компьютером.

    Параметры конфигурации — управление компьютером.

  5. В разделе Пакеты выберите + Создать. Описание птицы для автоматически созданного пакета.

  6. На вкладке Общие введите следующие сведения в поле Новый пакет:

    • Отображаемое имя: оставьте поле пустым. Так как он будет сброшен при выборе pkg.
    • Категория: Нет (по умолчанию)
    • Имя файла: выберите файл

    Вкладка Общие для параметров конфигурации.

    Откройте файл и наведите ему указатель на wdav.pkg или wdav_MDM_Contoso_200329.pkg.

    Экран компьютера с описанием автоматически созданного пакета.

  7. Выберите Открыть. Задайте для параметра Отображаемое имязначение Microsoft Defender Advanced Threat Protection и Microsoft Defender Антивирусная программа.

    Файл манифеста не требуется. Microsoft Defender для конечной точки работает без файла манифеста.

    Вкладка Параметры: оставьте значения по умолчанию.

    Вкладка "Ограничения": оставьте значения по умолчанию.

    Вкладка ограничения для параметров конфигурации.

  8. Выберите Сохранить. Пакет отправляется в Jamf Pro.

    Процесс отправки пакета параметров конфигурации для пакета, связанного с параметрами конфигурации.

    На то, чтобы пакет был доступен для развертывания, может потребоваться несколько минут.

    Экземпляр отправки пакета для параметров конфигурации.

  9. Перейдите на страницу Политики .

    Политики параметров конфигурации.

  10. Выберите + Создать , чтобы создать новую политику.

    Новая политика параметров конфигурации.

  11. В поле Общие введите отображаемое имя MDATP Onboarding Contoso 200329 версии 100.86.92 или более поздней версии.

    Параметры конфигурации — подключение MDATP.

  12. Выберите Повторяющаяся регистрация.

    Повторяющееся проверка для параметров конфигурации.

  13. Выберите Сохранить.

  14. Выберите Настроить пакеты>.

    Параметр для настройки пакетов.

  15. Нажмите кнопку Добавить рядом с Microsoft Defender Advanced Threat Protection and Microsoft Defender Антивирусная программа.

    Параметр для добавления дополнительных параметров в MDATP MDA.

  16. Выберите Сохранить.

    Параметр сохранения для параметров конфигурации.

  17. Создайте интеллектуальную группу для компьютеров с Microsoft Defender профилями.

    Для лучшего взаимодействия с пользователем необходимо установить профили конфигурации зарегистрированных компьютеров перед пакетом Microsoft Defender. В большинстве случаев JAMF Prof немедленно отправляет профили конфигурации, политики которых выполняются через некоторое время (т. е. во время проверка).

    Однако в некоторых случаях развертывание профилей конфигурации может быть развернуто со значительной задержкой (например, если компьютер пользователя заблокирован).

    JAMF Pro предоставляет способ обеспечения правильного порядка. Вы можете создать интеллектуальную группу для компьютеров, которые уже получили профиль конфигурации Microsoft Defender, и установить пакет Microsoft Defender только на этих компьютерах (и как только они получат этот профиль!).

    Для этого сначала создайте интеллектуальную группу. В новом окне браузера откройте группы интеллектуальных компьютеров в меню слева и нажмите кнопку Создать. Назначьте имя, перейдите на вкладку Критерии , нажмите кнопку Добавить и показать дополнительные критерии.

    Выберите Имя профиля в качестве критерия и используйте имя ранее созданного профиля конфигурации в качестве значения:

    Создание интеллектуальной группы.

    Нажмите кнопку Сохранить. Вернитесь в окно, в котором настраивается политика пакета.

  18. Перейдите на вкладку Область .

    Вкладка Область, связанная с параметрами конфигурации.

  19. Выберите целевые компьютеры.

    Параметр для добавления групп компьютеров.

    В разделе Область выберите Добавить.

    Параметры конфигурации — ad1.

    Перейдите на вкладку Группы компьютеров . Найдите созданную смарт-группу и добавьте ее.

    Параметры конфигурации — ad2.

    Выберите Самообслуживание, если вы хотите, чтобы пользователи устанавливали Microsoft Defender добровольно по запросу.

    Вкладка Самообслуживание для параметров конфигурации.

  20. Нажмите кнопку Готово.

    Состояние подключения Contoso с возможностью его завершения.

    Страница политик.

область профиля конфигурации

ДЛЯ JAMF требуется определить набор компьютеров для профиля конфигурации. Необходимо убедиться, что все компьютеры, получающие пакет Defender, также получают все профили конфигурации, перечисленные выше.

Предупреждение

JAMF поддерживает группы интеллектуальных компьютеров, которые позволяют развертывать, например профили конфигурации или политики, на всех компьютерах, соответствующих определенным критериям, вычисляемых динамически. Это мощная концепция, которая широко используется для распределения профилей конфигурации.

Однако имейте в виду, что эти критерии не должны включать наличие Defender на компьютере. Хотя использование этого критерия может показаться логичным, это создает проблемы, которые трудно диагностировать.

Defender использует все эти профили на момент установки. Создание профилей конфигурации в зависимости от присутствия Defender фактически задерживает развертывание профилей конфигурации и приводит к первоначальному неработоспособному продукту и (или) запросам на ручное утверждение определенных разрешений приложений, которые в противном случае автоматически утверждены профилями.

Развертывание политики с пакетом Microsoft Defender после развертывания профилей конфигурации обеспечивает оптимальную работу конечного пользователя, так как перед установкой пакета будут применены все необходимые конфигурации.

Совет

Хотите узнать больше? Engage с сообществом Microsoft Security в нашем техническом сообществе: Microsoft Defender для конечной точки Техническое сообщество.